Krytyczna luka wtyczki Breeze Cache dla WordPress umożliwiająca przesyłanie dowolnych plików
Luka w Breeze Cache WordPress umożliwia przesyłanie dowolnych plików i zdalne wykonanie kodu. Sprawdź konfigurację i zabezpiecz serwer.
- CVSS
- 9.8 CRITICAL
- EPSS
- 98.3%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Wtyczka Breeze Cache dla WordPress do wersji 2.4.4 zawiera lukę umożliwiającą nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer poprzez brak walidacji typu pliku w funkcji 'fetch_gravatar_from_remote'. Luka ta może prowadzić do zdalnego wykonania kodu, jeśli opcja "Host Files Locally - Gravatars" jest włączona, co domyślnie jest wyłączone.
Wpływ biznesowy
Atakujący mogą wykorzystać tę lukę do przesłania złośliwych plików na serwer, co może skutkować przejęciem kontroli nad infrastrukturą WordPress. Zagrożenie jest krytyczne (CVSS 9.8) i wymaga szybkiej reakcji, zwłaszcza jeśli funkcja lokalnego hostowania avatarów jest aktywna. Organizacje korzystające z tej wtyczki powinny zweryfikować swoje konfiguracje i zabezpieczenia, aby zapobiec potencjalnym atakom.
Rekomendowane działania administratora
Administratorzy powinni niezwłocznie sprawdzić, czy wtyczka Breeze Cache jest zainstalowana i czy jej wersja jest niższa lub równa 2.4.4. Należy wyłączyć opcję "Host Files Locally - Gravatars" jeśli jest aktywna oraz monitorować logi serwera pod kątem podejrzanej aktywności. Zaleca się także śledzenie aktualizacji wtyczki i stosowanie poprawek bezpieczeństwa udostępnionych przez producenta.